钓鱼攻击原理 | 十万个为什么

要点

网络钓鱼是一种在线身份盗窃方法，涉及伪造信息以模仿银行或在线零售商等可信来源。
网络钓鱼者计划、设置并执行攻击，窃取个人和财务数据，通常使用欺骗性策略，如伪造的电子邮件地址和混淆的链接。
为了保护自己，请警惕电子邮件中常见的泛泛问候、威胁和要求立即采取行动的内容，并将任何可疑的网络钓鱼尝试报告给相关部门。

假设有一天你查收电子邮件，发现一封来自你银行的邮件。你以前收到过他们的邮件，但这封看起来很可疑，特别是它威胁说如果你不立即回复就会关闭你的账户。你会怎么做？

这种信息以及其他类似信息都是网络钓鱼的例子，这是一种在线身份盗窃的方法。除了窃取个人和财务数据外，网络钓鱼者还可以用病毒感染计算机，并说服人们在不知情的情况下参与洗钱。

大多数人将网络钓鱼与伪造银行、信用卡公司或亚马逊、eBay 等其他企业的电子邮件信息联系起来。这些信息看起来很真实，并试图诱骗受害者泄露他们的个人信息。但电子邮件信息只是网络钓鱼诈骗的一小部分。

从头到尾，这个过程包括

规划。 网络钓鱼者决定要攻击哪个企业，并确定如何获取该企业客户的电子邮件地址。他们通常使用与垃圾邮件发送者相同的群发邮件和地址收集技术。
设置。一旦他们知道要伪造哪个企业以及受害者是谁，网络钓鱼者就会创建发送信息和收集数据的方法。这通常涉及电子邮件地址和网页。
攻击。 这是人们最熟悉的一步——网络钓鱼者发送一条看起来来自可信来源的虚假信息。
收集。网络钓鱼者记录受害者在网页或弹出窗口中输入的信息。
身份盗窃和欺诈。 网络钓鱼者利用他们收集到的信息进行非法购买或以其他方式实施欺诈。多达四分之一的受害者从未完全恢复 [来源：Information Week]。

如果网络钓鱼者想协调另一次攻击，他会评估已完成诈骗的成功与失败，然后重新开始这个循环。

网络钓鱼诈骗利用客户端和服务器端的软件和安全漏洞。但即使是最高科技的网络钓鱼诈骗也像老式的骗局一样运作，骗子说服受害者他值得信赖。

网络钓鱼诈骗

由于大多数人不会随意向任何人透露他们的银行账户、信用卡号或密码，因此网络钓鱼者必须采取额外措施来诱骗受害者放弃这些信息。这种欺骗性地获取信息的尝试被称为社会工程学。

网络钓鱼者经常使用真实的公司标志并复制合法的电子邮件信息，将链接替换为将受害者导向欺诈页面的链接。他们在邮件的“发件人”和“回复”字段中使用伪造的或虚假的电子邮件地址，并混淆链接使其看起来合法。但重现官方信息的表面只是这个过程的一部分。

大多数网络钓鱼信息会给受害者一个理由立即采取行动，促使他们先行动后思考。信息经常威胁受害者，如果他们不及时回复就会取消账户。有些则感谢受害者进行了一次他们从未进行过的购买。由于受害者不想损失他们并未真正花费的钱，他们就会点击信息中的链接，结果反而将他们最初害怕的信息交给了网络钓鱼者。

此外，很多人信任自动化流程，认为它们不会出现人为错误。这就是为什么许多信息声称计算机审计或其他自动化流程显示受害者的账户有问题。受害者更倾向于相信有人试图入侵他的账户，而不是相信进行审计的计算机出现了错误。

地址伪造

网页浏览器或电子邮件客户端越复杂，网络钓鱼者能找到的漏洞和弱点就越多。这意味着随着程序的日益复杂，网络钓鱼者会不断增加他们的伎俩。例如，随着垃圾邮件和网络钓鱼过滤器变得更加有效，网络钓鱼者也越来越擅长绕过它们。

最常见的伎俩是地址伪造。许多电子邮件程序允许用户在“发件人”和“回复”字段中输入他们想要的信息。虽然这对于使用多个电子邮件地址的人来说很方便，但也使网络钓鱼者能够轻松创建看起来像是来自合法来源的邮件。一些电子邮件服务器还允许计算机无需密码即可连接到简单邮件传输协议 (SMTP) 端口。这使得网络钓鱼者可以直接连接到电子邮件服务器，并指示它向受害者发送邮件。

其他伎俩包括

混淆链接。 这些URL看起来很真实，但会将受害者导向网络钓鱼者的网站。一些混淆技术包括

使用被伪造公司URL的拼写错误版本，或使用国际化域名（IDN）注册，通过其他字母表中的字符重新创建目标URL。将目标公司的名称包含在使用其他域名的URL中。
使用其他格式（如十六进制）来表示URL。
将重定向指令纳入原本合法的URL中。
使用 HTML 来欺骗性地呈现链接。例如，下面的链接看起来是导向“垃圾邮件如何运作”中解释僵尸机器的部分，但它实际上会将您的浏览器导向一篇完全不同的关于僵尸的文章。https://computer.100000.org.cn/spam4.htm

图像。 通过确定受害者使用的电子邮件客户端和浏览器，网络钓鱼者可以在真实的地址栏和状态栏上放置地址栏和安全挂锁的图像。

弹出窗口和框架。 恶意弹出窗口可能会出现在网站上方，或其周围的隐形框架可能包含恶意代码。

HTML。一些钓鱼邮件看起来像是纯文本，但实际上包含 HTML 标记，其中包含不可见的文字和指令，有助于邮件绕过反垃圾邮件软件。

DNS 缓存投毒。 也称为网上诱骗（Pharming），这是指网络钓鱼者（通常通过与客户服务代表交谈）更改DNS 服务器信息。这会导致所有试图访问被伪造公司网站的人被重定向到另一个网站。网上诱骗很难被检测到，并且可以一次性捕获多个受害者。

网络钓鱼者可以使用位于受害者和网站之间的代理计算机来记录受害者的交易。他们还可以利用公司网页上薄弱的安全性，将恶意代码插入到特定页面中。使用这些方法的网络钓鱼者无需伪装他们的链接，因为当信息被盗时，受害者正处于一个合法的网站上。

网络钓鱼者在他们的诈骗中也使用恶意程序

键盘记录器和屏幕截图木马记录并向网络钓鱼者报告信息。
远程访问木马将受害者的计算机变成僵尸机——网络钓鱼者可以使用这些机器分发更多的钓鱼邮件或托管钓鱼网页。
机器人程序在聊天室中与受害者进行虚假对话或协调僵尸网络。
间谍软件跟踪并记录用户的在线行为，这可以帮助网络钓鱼者计划其他攻击。

是网络钓鱼吗？你的网络钓鱼防范能力如何？参加 MailFrontier 的网络钓鱼智商测试，看看你识别虚假电子邮件的能力如何。你可以在《下一代安全软件的网络钓鱼指南》中阅读更多关于网络钓鱼的其他技术。Antiphishing.org 也详细描述了一个网络钓鱼者如何试图欺骗他的受害者。所有这些网络钓鱼伎俩看起来很多，但一些简单的步骤可以保护你。

反网络钓鱼

你通常采取的保护电脑的措施，如使用防火墙和杀毒软件，可以帮助你抵御网络钓鱼。你可以查看网站的SSL证书以及你自己的银行和信用卡对账单，以增加安全保障。

此外，网络钓鱼者在他们的电子邮件信息和网页中往往会留下一些明显的迹象。当你阅读电子邮件时，应该留意：

泛泛的问候语，如“亲爱的客户”。如果你的银行向你发送官方信函，上面应该有你的全名。（一些网络钓鱼者已经转向了鱼叉式网络钓鱼，其中可能包含个性化信息。）
对你账户的威胁和要求立即采取行动的请求，例如“请在五个工作日内回复，否则我们将取消你的账户。”大多数公司都希望你成为他们的客户，不太可能如此迅速地失去你的业务。
索取个人信息。即使在网络钓鱼成为普遍做法之前，大多数企业也不会通过电话或电子邮件索取个人信息。
可疑链接。链接过长、包含“@”符号或拼写错误的链接可能是网络钓鱼的迹象。手动在浏览器中输入商家网址比点击电子邮件中发送的任何链接更安全。
拼写错误和语法不佳。

幸运的是，企业和政府正在打击网络钓鱼。美国政府已指示银行在2006年底前，在在线交易中开始使用两种安全方法，包括密码和物理对象，如令牌或生物识别扫描仪 [来源：Wired]。许多互联网服务提供商（ISP）和软件开发商提供网络钓鱼工具栏，可以验证安全证书，告诉你所访问网站的注册地点，并分析链接。他们还提供报告网络钓鱼尝试的工具。其他程序则使用视觉线索来确认你已访问合法网站。

应对网络钓鱼

如果你收到一封你认为是网络钓鱼尝试的电子邮件，你不应该回复它、点击链接或提供你的个人信息。相反，你应该向被冒充的企业报告此尝试。使用他们的网站或电话号码，而不是点击可疑电子邮件中的链接。你还可以通知全国欺诈信息中心和反网络钓鱼工作组。

如果你认为你可能已经将个人信息提供给了网络钓鱼者，你应该向以下机构报告此事件：

被冒充的公司。
任何你曾向其披露个人信息的银行、贷款或信用机构。
三大信用报告公司中的至少一家（Equifax、Experian和TransUnion）。
你当地的警察局。
联邦贸易委员会。
联邦贸易委员会以及通过互联网犯罪投诉中心向联邦调查局 (FBI) 报告

你还应该更改你认为被冒充的网站的密码。如果你在其他网站使用了相同的密码，你也应该更改那里的密码。

网络钓鱼事实

2005年8月发生了13,776起网络钓鱼攻击，涉及5,259个网站。
他们针对84家不同的企业，但其中三家企业遭受了80%的攻击。
85%的攻击目标是银行和其他金融机构。
网络钓鱼者成功从多达5%的目标受害者那里获取了个人信息。
5700万美国互联网用户至少收到过一封钓鱼邮件，多达170万人曾将个人信息提供给攻击者来源：NGS Software 和 AntiPhishing.org

更多信息

来源

Abad, Christopher. “网络钓鱼的经济学。” First Monday. http://www.firstmonday.org/issues/issue10_9/abad/
“对‘网上诱骗’攻击的警报。” ZD Net UK. http://reviews.zdnet.co.uk/software/internet/ 0,39024165,39188617,00.htm
BBB Online: 网络钓鱼 http://www.bbbonline.org/idtheft/phishing.asp
网络钓鱼攻击的演变。 http://www.antiphishing.org/Evolution%20of%20Phishing%20Attacks.pdf
FTC: 如何避免被网络钓鱼诈骗“钩住” http://www.ftc.gov/bcp/conline/pubs/alerts/phishingalrt.htm
Grow, Brian. “鱼叉式网络钓鱼者正在潜入。” IBM. http://www-03.ibm.com/industries/financialservices/doc/ content/news/magazine/1348544103.html
帮助防止网络钓鱼诈骗造成的身份盗窃。微软。 http://www.microsoft.com/athome/security/e-mail/phishing.mspx
IBM报告：2005年上半年政府、金融服务和制造业成为安全攻击的主要目标 http://www-03.ibm.com/industries/financialservices/doc/content/ news/pressrelease/1368585103.html
Kay, Russell. “网络钓鱼。” Computerworld. http://www.computerworld.com/securitytopics/security/story/ 0,10801,89096,00.html
Kerstein, Paul. “回响。” CS Online. http://www.csoonline.com/talkback/071905.html
“了解你的敌人：网络钓鱼。” The Honeynet Project. http://www.honeynet.org/papers/phishing/
微软反网络钓鱼技术 http://www.microsoft.com/mscorp/safety/technologies/antiphishing/ default.mspx
Network World: 视觉线索可能阻碍网络钓鱼者 http://www.networkworld.com/columnists/2005/062705edit.html
下一代安全软件：网络钓鱼指南 http://www.ngssoftware.com/papers/NISR-WP-Phishing.pdf
“四分之一的身份盗窃受害者从未完全恢复。” Information Week. http://www.informationweek.com/showArticle.jhtml?articleID=166402700
“网上诱骗超越网络钓鱼。” Wired. http://www.wired.com/news/infostructure/0,1377,66853,00.html
Pharming.org http://www.pharming.org/index.jsp
“网络钓鱼活动趋势报告。” AntiPhishing, 2005年8月。 http://antiphishing.org/apwg_phishing_activity_report_august_05.pdf
Schneider, Bruce. “网络钓鱼者的真正补救措施。” Wired. http://www.wired.com/news/politics/0,1283,69076,00.html
网络钓鱼特别报告。美国司法部。 http://www.usdoj.gov/criminal/fraud/Phishing.pdf
“银行被告知：收紧网络安全。” Wired. http://www.wired.com/news/business/0,1367,69243,00.html
Windows IT Pro: 安全更新：网络钓鱼和网上诱骗 http://www.windowsitpro.com/Article/ArticleID/46789/46789.html?Ad=1

网络钓鱼如何运作

要点

网络钓鱼诈骗

地址伪造

反网络钓鱼

常见问题

企业如何保护其客户免受网络钓鱼攻击？

如果个人怀疑收到钓鱼邮件，应采取哪些措施？

更多信息

相关文章

更多有用链接

来源